mcseboarduser23 0 Geschrieben 20. Februar 2016 Melden Teilen Geschrieben 20. Februar 2016 (bearbeitet) Liebe Community, folgendes Anliegen habe ich, wir habenEnvironment 2010 SP3 UR122x CAS/HTnX MB ServerBei dem CAS/HT Server laufen 4x Dienste IIS,SMTP… Zertifikatsdomänen:autodiscover.domäne.eu, sowie domäne A,B,C… Das alte Zertifikate wurde über eine ROOT CA (intere Zertifizierungsstelle) ausgestellt n war 2 Jahre gültig. Dieses läuft im März aus.über die Exchange Konsole EMC kann ich das das aktuelle Zertifikat(verlängert, einen Request erstellen)mein bisheriges doing:das aktuelle zertifikat exportiert *.pfxcmdlet – get-certifikate .. thumbprint ABC… gesichert.über die EMC einen request erstellt, dieser wurde über die ROOT CA bearbeitet, ich habe jetzt ein *.PEM bzw/Zertifikatnun meine Frage:von dem aktuellen Zertifikat habe ich folgende InfosGet-ExchangeCertificate | fl Thumbprint E2D9B9B...0A60ß Zertifikat altServices IIS,POP,IMAP,UM,SMTPAusstellervonbis Den Fingerprint vom alten Zertifikate muss ich aufs neue übertragen, richtig? Mit:Get-ExchangeCertificate | flEnable-ExchangeCertificate -Thumbprint altes Certifikat -Services IIS,POP,IMAP,UM,SMTP Anschließend mache ich das auf dem zweiten CAS/HT Server ebenfalls? Welche test wären ausserdem sinnvollMailversand intern/externSMTP Versand via Telnettest* cmdletsund zum Schluss Remove-ExchangeCertificate OLD Welche Option auf ein „Failback“ habe ich Danke n Gruss bearbeitet 20. Februar 2016 von mcseboarduser23 Zitieren Link zu diesem Kommentar
mcseboarduser23 0 Geschrieben 21. Februar 2016 Autor Melden Teilen Geschrieben 21. Februar 2016 Hat keiner eine Idee? Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 21. Februar 2016 Melden Teilen Geschrieben 21. Februar 2016 Den Fingerprint vom alten Zertifikate muss ich aufs neue übertragen, richtig? Nein, das ist ein prinzipieller Fehler. Der Fingerprint ist der einzigartige Hash eines jeden Zertifikats. Hashalgorithmen wie SHA1, SHA256... erstellen aus Zertifikatsfeldern wie Aussteller, Gültig von, Gültig bis.... einen einzigartigen Hashwert (=Fingerprint). Veränderst du nur ein einziges Zeichen an den Pflichtfeldern im Zertifikat, so muss sich der Hashwert laut Spezifikation komplett ändern und darf dem ersten Wert nichtmal im Entferntesten ähneln. d.h. den einzigartigen Fingerprint kannst du nicht ein zweites Mal benutzen. BTW: SHA1 läuft so langsam aus. Besser SHA256 benutzen, nur falls ihr noch SHA1 habt Von Mail-Exchange ansich habe ich leider 0 Ahnung blub Zitieren Link zu diesem Kommentar
mcseboarduser23 0 Geschrieben 21. Februar 2016 Autor Melden Teilen Geschrieben 21. Februar 2016 danke blubb wo sind die ganzen MVPs?? zu komplex das Thema Zitieren Link zu diesem Kommentar
NorbertFe 1.825 Geschrieben 21. Februar 2016 Melden Teilen Geschrieben 21. Februar 2016 bestimmt :rolleyes: könnte aber auch am Wochenende liegen, oder daran, dass man sich hier nicht zur Antwort genötigt fühlen will. Viel Erfolg noch. Zitieren Link zu diesem Kommentar
mcseboarduser23 0 Geschrieben 21. Februar 2016 Autor Melden Teilen Geschrieben 21. Februar 2016 du kannst es echt nicht lassen oder? Zitieren Link zu diesem Kommentar
NorbertFe 1.825 Geschrieben 21. Februar 2016 Melden Teilen Geschrieben 21. Februar 2016 Du auch nicht, oder? Zitieren Link zu diesem Kommentar
Dukel 436 Geschrieben 21. Februar 2016 Melden Teilen Geschrieben 21. Februar 2016 Zertifikat installieren und den Diensten zuweisen und danach sollte es greifen. Überprüfen kannst du dies mit openssl. Das alte Zertifikat musst du nicht löschen, kannst es aber. Fallback wäre das neue zu löschen und das alten nicht zu löschen. Zitieren Link zu diesem Kommentar
mcseboarduser23 0 Geschrieben 22. Februar 2016 Autor Melden Teilen Geschrieben 22. Februar 2016 @ Dukel danke, 2 Fragen an dich. sind im dem REQ File vom alten Zertifikat, die Infos über Zertifikatsdomänen sowie Infos zum private Key? folgendes würde ich nun umsetzen den Fingerprint vom neuen Zertifikat aufschreiben, dann mit mit dem cmdlet: Enable-ExchangeCertificate -Thumbprint neuesZertifikat -Services POP,IMAP,SMTP,IIS ausführen. ich bin mir aber nicht sicher zur CertificateDomains, sind diese Infos im neuer Zertifikat? Zitieren Link zu diesem Kommentar
testperson 1.541 Geschrieben 22. Februar 2016 Melden Teilen Geschrieben 22. Februar 2016 sind im dem REQ File vom alten Zertifikat, die Infos über Zertifikatsdomänen sowie Infos zum private Key? Ja. Was auch immer du mit dem alten CSR vor hast.. ich bin mir aber nicht sicher zur CertificateDomains, sind diese Infos im neuer Zertifikat? Kommt drauf an ob du das Zertifikat erneurst oder ein neues Zertifikat erstellst. Sollte aber auch logisch sein, was in welchem Fall an FQDNs / Hosts im Zertifikat enthalten sind. Zitieren Link zu diesem Kommentar
mcseboarduser23 0 Geschrieben 22. Februar 2016 Autor Melden Teilen Geschrieben 22. Februar 2016 wenn ich für das Zertifikat zuständig wäre, wäres einfacher... also die CertificateDomains stehen nicht drin - kann ich die über Enable-ExchangeCertificate -Thumbprint NeuesCert -Services POP,IMAP,SMTP,IIS -CertificateDomains a,d,c,autodiscover.nl manuell hinzufügen? Zitieren Link zu diesem Kommentar
testperson 1.541 Geschrieben 22. Februar 2016 Melden Teilen Geschrieben 22. Februar 2016 Nein. Evtl. solltest du generell jemanden fragen, der für den Exchange und das Zertifikat zuständig ist und mit den Grundlagen vertraut ist. Zitieren Link zu diesem Kommentar
mcseboarduser23 0 Geschrieben 22. Februar 2016 Autor Melden Teilen Geschrieben 22. Februar 2016 Subject Alternative Name = CertificateDomains, wie kann ich diese dem neuen Zertifikat mitgeben diese Infos brnigen mich nicht weiter, ich bin der glückliche, also erneut meiner Frage: Subject Alternative Name = CertificateDomains, wie kann ich diese dem neuen Zertifikat mitgeben Zitieren Link zu diesem Kommentar
testperson 1.541 Geschrieben 22. Februar 2016 Melden Teilen Geschrieben 22. Februar 2016 https://technet.microsoft.com/de-de/library/bb310795%28v=exchg.141%29.aspx Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 22. Februar 2016 Melden Teilen Geschrieben 22. Februar 2016 Subject Alternative Name = CertificateDomains, wie kann ich diese dem neuen Zertifikat mitgeben klassisch mit certreq, in etwa so: certreq -submit -attrib "SAN:DNS=server1.test.net&DNS=server2.test.net" offline.cer certreq -accept offline.cer Mit Powershell (spätestens ab 5.0) sollte es eine Alternative geben, vermute ich! Aber wenn es schon ein VorgängerZertifkat gibt, dann wende dich doch an den Aussteller desselben. An dessen Prozess solltest du dich halten. Wenn es keinen Prozess gibt, dann würde ich das ganze PKI-Konstrukt in Frage stellen. Definierte, dokumentierte Prozesse sind das Wichtigste an einer PKI. blub Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.